WORKSHOP 


Aan de slag met het Windows-logboek 


Windows doet een boekje open 


Zowel Windows XP als Vista houden ‘logboeken’ bij. 
Daarin vind je alles over wat er goed — en fout — gaat met 
je computer, zowel in Windows zelf, als op het vlak van 
hard- en software. Met die gegevens kan je eenvoudig 
een probleem opsporen en er eventueel een oplossing 
voor vinden. Wat kan je met de Windows-logboeken 
aanvangen? A _FREDERICK GORDTS 


N 


4 
WAT DOEN WE? 


Lee alles wat je met Windows doet, wordt 
opgeslagen in de logboeken. Of misschien 
moeten we dat een beetje nuanceren: alles wat 
fout gaat, wordt opgeslagen in de logboeken, en 
sommige dingen die goed gaan ook. Alles hangt af 
van hoe een programma met de logboeken omgaat, 
maar ook hoe de logboeken zelf zijn ingesteld. In 
elk geval zal je ze pas controleren als er problemen 
zijn, maar dan kunnen ze goed van pas komen om 
de oplossing te vinden. 


WAARMEE? 
HOELANG? 


MOEILIJKHEID? 


D 
STAP 1 / HET LOGBOEKPROGRAMMA OPSTARTEN 


In elke versie van Windows XP vind je het logboekenprogramma, dat 
gewoon LocBoeKen heet, standaard onder CoONFIGURATIESCHERM, SYSTEEMBEHEER, 
LoeBoekKen. Lukt dat niet, ga dan naar Starr, Uitvoeren en tik eventvwr.msc 
in, gevolgd door Enter. Het hoofdvenster van LoeBoeKen springt nu te- 


MISSCHIEN EENS IN HET SYSTEEMLOGBCEK 
KIJKEN WAAROM IE ZO WARM WERD ? 


STAP 2 / VERSCHILLENDE SOORTEN LOGBOEKEN 


Het programma Logboeken geeft standaard 3 of 4 soorten logboeken 
weer. Dubbelklik op LogBoeken (LokaaL) om ze te zien (zie afbeelding 2). 
Onder Toepassina vind je het toepassingslogboek terug. Daarin staan 
GEBEURTENISSEN (EVENTS) die door een softwarepakket of toepassing neer- 
geschreven worden. Dat kan bijvoorbeeld gaan om Word of andere 
Office-toepassingen. Ook bij het installeren van een programma of het 
synchroniseren van je mp3-speler wordt daarvan melding gemaakt in 
dit logboek. Daaronder vind je het Bever reinesLoeBoeK. Hier moet je zijn 
als je wil nagaan of er iemand zonder geldig wachtwoord probeerde in 
te loggen in Windows. Ook pogingen om bestanden of mappen te ver- 
wijderen zonder voldoende rechten kunnen hierin terechtkomen. De 
derde categorie is die van het SysteemLoaBoekK. Hier vind je alles terug 
over Windows XP zelf: bijvoorbeeld foutmeldingen van het netwerk in 
XP, van gedeelde harde schijven of printers, maar ook als je Windows 
opnieuw opstart. Mogelijk tref je hier nog een vierde categorie aan: 
Internet Exprorer. Die is echter leeg en hoef je dus niet te gebruiken. 


ca 5 5 Logboeken (lokaal) 
voorschijn (zie afbeelding 1). TE [ype [ Beschrijving | Grootte | 

fs Toepassing Logboek Records met toepassingsfouten 512,0 kB 

B Logboeken fi] Beveiliging Logboek Records met bevelligingscontrole 64,0 kB 

— ie En 0 Systeem Logboek Records met systeemfouten 512,0 kB 

2 LE fil Internet Explorer Logboek Aangepaste records met logboekfouten — 2 

J} Logboeken lokaal) Logboeken (lokaal) 

tij Toepassing Naam Type Beschrijving Grootte 


tij Beveiiging 
tj Systeem 
) Internet Explorer 


1] Toepassing 
1] Beveiliging 

ti] systeem 

1] internet Explorer 


Logboek 
Logboek 
Logboek 
Logboek 


Records met toepassingsfou… 512.08 
Records met bevelligingscon…  64.0kB 
Records metsysteemfouten 512.08 
Aangepaste records metlog.….  — 


Het beginscherm van Logboeken. 
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Met deze 4 logboeken moet je het standaard doen in Windows XP. 
STAP 3 / HET LOGBOEK UITGELEGD 


Klik je op een logboek, dan krijg je een hele reeks informatie te zien, 
opgedeeld in kolommen (zie afbeelding 3). De eerste kolom geeft het 
Type weer. Meer uitleg daarover vind je in stap 4. In de volgende kolom- 
men vind je datum en tijd. De Bron is veelal het programma dat de 
gebeurtenis heeft veroorzaakt. Staat er bijvoorbeeld MsrInstaLter, dan 


Bestand Acte Beed 


sE 


Elke gebeurtenis wordt netjes in 8 kolommen weergegeven. 


weet je dat het wellicht om een fout gaat tijdens het installeren van 
software. Maar die bron krijg je ook wanneer er een stukje hardware 
niet is aangesloten, zoals een webcam. Bepaalde types gebeurtenissen 
hebben ook een Cateeorie. Daarnaast vind je een cijfercode betreffende 
de gebeurtenis, de naam van de gebruiker en de naam van je (eigen) 
computer. Dubbelklik je op een gebeurtenis, dan krijg je nog meer in- 
formatie, waaronder een — soms — nuttige beschrijving. 


STAP 4 / TYPES GEBEURTENISSEN 


Elk logboek bevat tot vijf verschillende types gebeurtenissen, die je 
terugvindt in de eerste kolom van elk logboek (zie afbeelding 4). De 
meeste zijn van het type Inrormarie. Dat wil zeggen dat een bepaalde 
bewerking met succes is uitgevoerd door een programma, stuurpro- 
gramma of ‘service’. Met andere woorden: alles loopt goed. Krijg je 
echter een WaarscHuwine als type te zien, dan kan er iets fout zijn of 
binnenkort fout lopen. Zo'n WaarscHuwine krijg je bijvoorbeeld te zien als 
een harde schijf bijna vol is of als een netwerkshare niet meer bestaat. 
Erger zijn de gebeurtenissen van het type Four. Die wijzen op een be- 
langrijk probleem, bijvoorbeeld een crash van (een onderdeel van) een 
programma of van Windows zelf. Tot slot kan je ook twee soorten Toe- 
GANGSPOGINGEN te zien krijgen. Maar daarover lees je meer in stap 7. 


B Logboeken 
Bestand Acte Beeld Help 
e Ee) 2 
| Logboeken (lokaal) Toepassing 1,637 gebeurtenis{sen) 

|E) Toepassing 
=. mk 03/04/2008 10:42:29 
E Internet Explorer 00/2008 10:32:37 
03/04/2008 10:32:32 
03/04/2008 10:15:51 
03/04/2008 10:15:29 
DD Informatie 03/04/2008 10:06:56 
D Informatie 03/04/2008 10:02:14 
DD informatie 03/04/2008 09:57:51 
03/04/2008 09:57:47 
03/04/2008 09:54:27 
03/04/2008 09:53:25 
DD Informatie 03/04/2008 09:50:54 
D Informatie 03/04/2008 09:50:53 
D informatie 03/04/2008 09:50:53 
@D Informatie 03/04/2008 03:48:29 
€ Fout 03/04/2008 09:48:01 
DD informatie 03/04/2008 09:45:07 
B informatie 03/04/2008 09:42:33 

[dS Waarshunra) 


03/04/2008 09:42) 
& Waarschuwing 03/04/2008 09:42 


De drie belangrijkste types. 


LOGBOEKINSTELLINGEN 


Klik je met de rechtermuisknop op een logboek en kies je Ercen- 
SCHAPPEN, dan kan je de instellingen van het logboek wijzigen. 
Standaard wordt het logboek maximaal 512 kB of een halve 
megabyte groot en worden gebeurtenissen die ouder zijn dan 7 
dagen automatisch overschreven. Hier kan je dit eventueel 
aanpassen. We raden je wel aan het logboek niet te groot te 
maken (bijvoorbeeld meer dan 5.120 kB) en handmatig wissen te 
vermijden, want anders zou het wel eens uit zijn voegen kunnen 
barsten en nieuwe gebeurtenissen niet meer weergeven. 


STAP 5 / FOUTEN OPSPOREN IN HET TOEPASSINGSLOGBOEK 


Krijg je foutmeldingen bij een bepaald programma, neem dan een kijkje 
in het ToepassingsLocBoeK. Zoek de WaarscHuwinG of Four die met het pro- 
gramma te maken heeft. Dubbelklik je erop, dan vind je onder BescHriJvine 
een goede uitleg van het probleem (zie afbeelding 5). In dit voorbeeld 
blijkt het programma QuickCam 10 van Logitech duidelijk niet goed ge- 
installeerd. Meestal kan je dit oplossen door de toepassing opnieuw te 
installeren of door een nieuwere versie te installeren. Krijg je een cryp- 
tische foutmelding, geef die dan in Google in — daar vind je meestal de 
goede oplossing. Soms helpt het ook om op de GeBeurrenis-ip te zoeken. 


Eigenschappen voor Gebeurtenis 


Gebeurtenis 


Datum: 03/04/2008 Bron: 
Tijd: 14:53:44 
Type: Waarschuwing Gebeurtenisid: 1004 
Gebruiker: NT AUTHORITY\Netwerkservice 
Computer: C2DXPNL 


Msilnstaller 
Categorie: Geen 


Beschrijving: 


De detectie van product {364ECO92-93CF-4DDC-9D7A-7278452028E0}, 
functie QuickCam, onderdeel {B52C7B4D-F46F-438C-ADF2-05A138C57757} is 
mislukt. De bron HKEY_CURRENT_USER\Software\Logitech\QuickCam 10 
\Desktop Shortcut Key bestaat niet. 


Zie Help en ondersteuning op http://go microsoft com Awlink/events.asp voor 
meer informatie. 


Een gebeurtenis uit het Toepassingslogboek in detail. 


STAP 6 / HET SYSTEEMLOGBOEK GEBRUIKEN 


Interessanter dan het Toepassingslogboek is wellicht het Systeemlog- 
boek, omdat je hier fouten te zien krijgt van Windows of van Windows- 
stuurprogramma's. Heb je bijvoorbeeld een netwerkprobleem, dan kan 
je hier een Four van Duce vinden, zoals De IP-ApresLEASE 192.168.1.2 voor 
DE NETWERKKAART IS GEWEIGERD (zie afbeelding 6). Dat wil zeggen dat er een 
probleem is met de netwerkkaart. Vaak kan je dit verhelpen door de 


Eigenschappen voor Gebeurtenis 
Gebeurtenis 


Bron: Dhep 
09:58:23 Categorie Geen 
7 Fout Gebeurtenisid: 1002 
Gebruiker: nvt. 
Computer: _C2DXPNL 


Beschrijving 
De IP-adreslease 10.10.10.33 voor de netwerkkaart met netwerkadres 


001A92988B2C is geweigerd door de DHCP-server 0.0.0.0. De DHCP server 
heeft een DHCPNACK-bericht gezonden 


Zie Help en ondersteuning op http://go microsoft com Awlink/events.asp voor 
meer informatie. 


Een gebeurtenis 
uit het Systeem- 
logboek in detail. 
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WORKSHOP 


HOE ZIT HET BĲ VISTA? 


Bestand Actie Beeld Help 


Ook Windows Vista bevat een LoGBoEKPROGRAMMA. Het Logboekprogramma ez 00 


U Logboeken Jekaal) iysteem 1314 gebeurtenes Ir 


vind je echter door op de Start-knop te klikken en in het zoekvak logboek „nenten (ema Omen Taskenage =| Systeem 

in te tikken. De meeste van bovenstaande stappen werken ook voor Pm DE oi Pake en AP 
Windows Vista. Het BeveiLieingsoeBoek is in Vista standaard actief, zodat Hen penn wee bon, emrnnen 
je stap 7 niet meer hoeft uit te voeren. Daarnaast vind je onder LoaBoe- loon Towe Dinne > ADM 1537 area. || rts 

KEN TOEPASSINGEN EN SERVICES nog aparte logboeken voor bepaalde program- emg} em ma [ag zoeten 

ma’s, zoals Microsort Orrice. Rechts van de logboeken heb je ook de be- Bersee | nn —t a B gn 
schikking over verscheidene Acties. Zo kan je een ritter op het logboek mma om Dagna | Semen na hea 
toepassen, om bijvoorbeeld enkel de gebeurtenissen van een bepaald nonnen ea ne orden gen | Gebeurtenis 2m. Sharedaccens.NAT 


type of programma te zien. 

Je kan ook een taak aan een gebeurtenis koppelen door op TAAK AAN DEZE 
GEBEURTENIS KOPPELEN te klikken. Zo ontvang je een e-mailtje als een be- 
paalde gebeurtenis zich voordoet, of kan er een bericht op het scherm 
weergegeven worden. Een logboek in Vista heeft een standaardgrootte 
van 20 MB, en ook deze grootte kan je aanpassen door met de rechter- 


igenschaggen van gebeotenit 
Legboernsam Systeem 9] Teak aan deze gebeurtenis koppelen. 
bree Smaresaccess. NAT Geregisveerd: —_ 18/09/2007 153743 [es Kopieren 
Gebeurtenis-ië. 20 Taakertegose — Geen [KJ oesooetoode gebeorteniseen opdtaon. 
Nirvesu Fout Toetweoordere —_ Kassiek 
Gebruiker. Computer. 

Mep 
Opcede Indo 
Meer eformatie 


vernieuwen 


muisknop op een logboek te klikken en EreenscHappen te kiezen. 


kaart even uit en dan weer in te schakelen in het NETwERK-CONFIGURATIE- 
SCHERM. Soms zijn de foutmeldingen echter te cryptisch. Wat dacht je 
bijvoorbeeld van FourMELDING VOOR REFERENTIE: DE BEWERKING IS VOLTOOID? Even- 
tueel kan je in Google een zoekopdracht starten met het GEBEURTENIS-ID 
en de Bron. De meeste gebeurtenissen zijn echter van het type Inror- 
MATIE, met als Bron Service ControL Manager. Dat is volkomen normaal en 
wijst er gewoon op dat een service of dienst goed is opgestart. 


Eigenschappen voor Aanmeldingsgebeurtenissen cont. 2%) 


Í Insteling van lokale beveliging 


| E) Aanmeldingsgebeurtenissen controleren 


Deze pogingen controleren: 


[w] Geslaagde pogingen 


[Y] Mislukte pogingen 


Het groepsbeleid instellen. 


Bestand Acte Beeld Help 
es OEFA 2 


(Ea teoboeken lokaal) Beveiliging 28 gebeurtenis(sen) 


In Vista zijn de logboeken min of meer hetzelfde opgebouwd. 


STAP 7 / HET BEVEILIGINGSLOGBOEK ACTIVEREN 


Bij een gewone installatie van Windows XP is het Bever ieinesLoeBoek altijd 
leeg. Het kan nochtans nuttig zijn, want je kan er bijvoorbeeld mee 
nagaan wie wanneer heeft ingelogd, of wanneer er iemand zonder het 
juiste wachtwoord probeerde aan te melden. Daarvoor moet je eerst 
het zogenaamde ‘groepsbeleid’ activeren. Ga naar Srarr, Uitvoeren en tik 
gpedit.msc in, gevolgd door Enter. Onder Compurerconriauratie kies je 
WINDOwS-INSTELLINGEN, BEVEILIGINGSINSTELLINGEN, LoKAAL BeLEip, CONTROLEBELEID. 
Dubbelklik nu op AANMELDINGSGEBEURTENISSEN CONTROLEREN @n vink GESLAAGDE 
POGINGEN en MisLuKTE POGINGEN aan (zie afbeelding 7a). Sluit het GroepsgeLeip 
af en start de computer opnieuw op. Log je nu in, dan vind je dit terug 
in het BEveILIGINGSLOGBOEK. CONTROLEREN OP GESLAAGDE POGINGEN is het Tyre bij 
een geslaagde aanmelding. Zie je CONTROLEREN OP MISLUKTE POGINGEN staan, 
dan heeft iemand een fout wachtwoord gebruikt. Als je hierop dub- 
belklikt, zie je welke gebruiker dat was (zie afbeelding 7b). 


i Toepassing 


| Gebeurtenis _ | Gebruiker | computer 


E Typ Datum | Tijd [gron __ | Categorie 
sl _ igg @f Controleren op geslaagde pogingen 03/04/2008 17:51:13 Security Aanmelden/afmelden 
: m 

Ai af Controleren op geslaagde pogingen 03/04/2008 17:51:13 Security Aanmelden/afmelden 


ij Internet Explorer ef controleren op geslaagde pogingen 03/04/2008 17:51:12 Security Gebruik van machtigingen 
ef Controleren op geslaagde pogingen 03/04/2008 17:51:12 Security Aanmelden/afmelden 
[] &) Controleren op mislukte pogingen | 03/04/2008 17:54:11 Security Aanmelden/afmelden 

Controleren op mislukte pogingen 03/04/2008 17:51:09 Security Aanmelden/afmelden 
&) controleren op mislukte pogingen Galaaisoas pe arn aide side 
Aen eed desa Eigenschappen voor Gebeurtenis 
&) controleren op mislukte pogingen 
8 controleren op mislukte pogingen Gebeurtenis Consolebasis\Lodboeken (lokaan… 
&) Controleren op mislukte pogingen anne 
ie ge tn Dn his vend 
y Tijd. 17:51:11 Categorie: _Aanmelden/afmelden 
@f Controleren op geslaagde pogingen 

Type, Controleren op Gebeurtenisid: 529 


@f Controleren op geslaagde pogingen 
@f controleren op geslaagde pogingen Gebruiker: NT AUTHORITY\SYSTEM 
Computer. C2OXPNL 


@f Controleren op geslaagde pogingen 
@f Controleren op geslaagde pogingen Beschriving 


538 fred C2DXPNL 
682 SYSTEM C2DXPNL 
576 fred C2DXPNL 
528 fred C2OXPNL 
529 SYSTEM C2OXPNL 
529 SYSTEM C2DXPNL 
SYSTEM C2DXPNL 
adsfdasf C2DXPNL 
SYSTEM C2OXPNL 
SYSTEM C2DXPNL 
SYSTEM C2DXPNL 
Netwerkservice _C2DXPNL 
Netwerkservice _C20XPNL 
Netwerkservice _C2DXPNL 
Netwerkservice _ C2DXPNL 
adsfdasf C2OXPNL 
adsfdasf C2DXPNL 


f controleren op geslaagde pogingen 

EÁ paepe [Aanmeldingsfout 

f/ Controleren op geslaagde pogingen Reden: Onbekende gebruikersnaam of onjuist 
@f Controleren op geslaagde pogingen 
ef Controleren op geslaagde pogingen 


si Domein 2DXPNL 
@f controleren op geslaagde pogingen pee 


@f Controleren op geslaagde pogingen Aanmeldingsproces: Advapi 

@f Controleren op geslaagde pogingen Verficatiepakket: Negotiate 
@f controleren op geslaagde pogingen Werkstationnaam: C2OXPNL 
@f Controleren op geslaagde pogingen 
@f controleren op geslaagde pogingen 


adsfdasf C2DXPNL 
adsfdasf C2DXPNL 
adsfdasf C2DXPNL 
adsfdasf C2DXPNL 
SYSTEM C2DXPNL 
adsfdasf C2DXPNL 
adsfdasf C2DXPNL 
adsfdasf C2DXPNL 
adsfdasf C2DXPNL 
adsfdasf C2DXPNL 


@f Controleren op geslaagde pogingen 


fred C2DXPNL 
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Een voorbeeld van een gebeurte- 
nis uit het Beveiligingslogboek. 


